Dans le cadre de l’exécution du Contrat, Le Prestataire, en tant que sous-traitant, est amené à traiter des données à caractère personnel pour le compte du Client, qui agit en qualité de responsable de traitement au sens du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après « le règlement européen sur la protection des données » ou « RGPD »). Ces traitements impliquent des mesures de protection adaptées et renforcées de la part du Prestataire pour garantir la sécurité et la confidentialité des données.
Chaque Partie reconnaît que les données à caractère personnel et les traitements afférents sont soumis aux dispositions légales et réglementaires de protection des données personnelles en vigueur. Les Parties s’engagent à respecter cette réglementation, en particulier les obligations issues du RGPD, et à mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires pour assurer la protection des données personnelles traitées dans le cadre de ce Contrat.
Le Client reste propriétaire des supports informatiques et documents qu’il fournit ainsi que des données à caractère personnel traitées par le Prestataire au titre du Contrat. En tant que responsable de traitement, le Client garantit que les instructions fournies au Prestataire sont conformes au RGPD et respectent les droits des personnes concernées, notamment leurs droits d’accès, de rectification, d’opposition, d’effacement et de portabilité.
Les Parties s’engagent à coopérer de manière proactive pour garantir la sécurité, la confidentialité et le respect des droits des personnes concernées, conformément aux articles 32 à 36 du RGPD, en tenant compte de la nature, de la portée, du contexte et des finalités des traitements effectués ainsi que des risques associés pour les droits et libertés des personnes.
Dans le cadre de l’exécution du Contrat, le Prestataire, en tant que sous-traitant, traitera des données à caractère personnel uniquement sur instructions documentées du Client, qui agit en qualité de responsable de traitement. Ces traitements sont réalisés pour permettre au Prestataire de fournir les services de mise à disposition de la plateforme ainsi que les fonctionnalités associées définies dans le Contrat.
Les traitements effectués par le Prestataire pour le compte du Client incluent notamment, sans s’y limiter :
- le stockage et l’hébergement sécurisé des données
- la sauvegarde régulière des données pour prévenir toute perte
- la gestion des accès et des autorisations des utilisateurs de la plateforme
- la fourniture de support technique et l’assistance pour l’utilisation de la plateforme
- le suivi des performances et de la sécurité pour assurer le bon fonctionnement de la plateforme.
Le Prestataire s’engage à n’effectuer aucun traitement au-delà de ceux nécessaires à l'exécution du Contrat et des instructions fournies par le Client. En aucun cas, le Prestataire ne traitera les données personnelles pour des finalités autres que celles convenues, à moins d’une obligation légale ou d’une demande expresse du Client, documentée par écrit.
Les informations personnelles sont recueillies sur la plateforme à l’occasion de son utilisation. Elles sont nécessaires à l’ouverture, la tenue et le fonctionnement d’un compte utilisateur ou pour permettre au Prestataire ou à son Client de poursuivre un intérêt légitime dans le respect des droits du Client et des Utilisateurs.
Le Prestataire procède pour sa part au stockage et à la sauvegarde des données personnelles. Le Prestataire n’intervient jamais pour remplacer le Client dans un traitement qu’il peut opérer en parfaite autonomie sur la plateforme.
Dans le cadre des services fournis, le Prestataire, en tant que sous-traitant, traitera des données à caractère personnel pour permettre l’ouverture, la tenue et le bon fonctionnement des comptes utilisateurs sur la plateforme, ainsi que pour répondre aux besoins opérationnels du Client.
Les traitements sont effectués principalement pour les finalités suivantes, en respectant l’intérêt légitime du Client et les droits des utilisateurs :
- Gestion des comptes utilisateurs : création, modification, gestion des accès et suppression des comptes.
- Sauvegarde et stockage des données : conservation sécurisée des données pour prévenir toute perte.
- Support technique et sécurité : assistance aux utilisateurs et maintien de la sécurité des accès et de l’utilisation de la plateforme.
Le Prestataire s’engage à ne pas effectuer de traitements au-delà des finalités définies, sauf sur instruction documentée du Client ou en cas d’obligation légale.
Les données à caractère personnel sont conservées et traitées pour la durée strictement nécessaire à l’accomplissement des finalités précisées à l’article 2, puis archivées ou supprimées de manière sécurisée. La durée de conservation ne dépasse pas la durée de la relation contractuelle ou commerciale, augmentée des délais nécessaires pour satisfaire aux obligations légales, telles que la liquidation et la consolidation des droits, les délais de prescription et l’épuisement des voies de recours.
En cas d’obligation légale, de demandes des régulateurs ou d’autorités administratives, ou encore pour des finalités de recherches historiques, statistiques et scientifiques, les données peuvent être archivées conformément aux conditions prévues par la loi.
- Pour le Client : La durée maximale de conservation des données est de 10 ans après la fin de la relation contractuelle.
- Pour le Prestataire : Les données seront supprimées ou anonymisées de manière sécurisée dans un délai maximal de 30 jours après la fin de la relation contractuelle avec le Client, sauf disposition légale contraire.
Les données à caractère personnel peuvent être utilisées par le Client pour les finalités suivantes, dans le respect des dispositions légales en vigueur :
- Gestion de la relation commerciale et de la relation client
- Connaissance du Client et gestion des produits et services
- Prospection et animation commerciale, Études statistiques et analyses de données
- Profilage à des fins commerciales (sous réserve de la conformité aux règles en vigueur)
- Évaluation et gestion des risques, Respect des obligations légales et réglementaires
- Facturation des abonnements et des commissions.
En tant que sous-traitant, le Prestataire ne peut en aucun cas être tenu pour co-responsable du traitement des données personnelles dans les situations suivantes :
- Lorsque le Client télécharge des données personnelles et les transmet à un tiers
- Lorsque le Client effectue un transfert de données personnelles via les APIs pour intégrer des services tiers.
Ces exclusions de responsabilité sont particulièrement applicables pour les finalités poursuivies par le Client en dehors des Services fournis par le Prestataire, notamment pour des activités telles que la prospection, l’animation commerciale, les études statistiques et le profilage, qui relèvent exclusivement de la responsabilité du Client.
Les traitements effectués par le Prestataire ont pour objectif de fournir les prestations prévues dans le Contrat, incluant les opérations suivantes :
- Enregistrement et hébergement des données
- Organisation, structuration et mise à disposition des données pour le Client
- Conservation sécurisée des données
- Consultation des données dans le cadre du support technique
- Transmission et transfert des données vers des tiers désignés par le Client
- Effacement ou anonymisation des données selon les normes réglementaires et la documentation
- Utilisation des données dans le cadre de la sécurité et du bon fonctionnement de la plateforme.
La collecte, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la diffusion, l’effacement et le rapprochement des données sont des opérations réalisées de manière autonome par les utilisateurs et le Client, sans intervention directe du Prestataire, sauf dans le cadre des prestations spécifiquement prévues dans le Contrat.
Les données personnelles traitées et saisies par les opérateurs ou les utilisateurs sur la plateforme incluent les informations suivantes :
- Photo de profil
- Civilité
- Nom, Prénom
-Entreprise
- Adresse e-mail
- Numéro de téléphone,
-Adresse postale (numéro et nom de rue, complément d’adresse, ville, code postal, région, pays)
- Langue utilisée.
-Adresses IP
Données spécifiques à certains utilisateurs (le cas échéant) Ces informations peuvent être demandées uniquement pour des utilisateurs spécifiques et dans le respect de la réglementation applicable :
-Date de naissance (uniquement pour vérifier la majorité de l’utilisateur, si nécessaire).
Informations techniques nécessaires au bon fonctionnement de la plateforme Ces données sont collectées pour des raisons de sécurité, de diagnostic et de support technique :
- Adresse IP
- Logs de connexion et d’activité
- Index de base de données.
Les données personnelles collectées et traitées sur la plateforme concernent les catégories de personnes suivantes :
- Les utilisateurs : personnes accédant et utilisant la plateforme, qu’il s’agisse d’utilisateurs finaux ou d’administrateurs.
- Les employés du Client : collaborateurs du Client accédant à la plateforme dans le cadre de leurs fonctions professionnelles.
- Les partenaires du Client : partenaires commerciaux ou techniques du Client, impliqués dans l’utilisation ou la gestion de la plateforme en collaboration avec le Client.
Le Prestataire s'engage à respecter l'ensemble des obligations légales et réglementaires qui lui incombent en matière de protection des données à caractère personnel, conformément à la réglementation Informatique et Libertés, y compris le RGPD. Le Prestataire garantit au Client qu'il mettra en œuvre les mesures nécessaires pour assurer la conformité des traitements de données réalisés dans le cadre de la présente annexe.
Le Client, en tant que responsable de traitement, s’engage à effectuer toutes les formalités requises auprès de l’autorité de contrôle compétente en matière de protection des données, et à informer, lorsque cela est nécessaire, les personnes concernées du traitement de leurs données personnelles, conformément à la réglementation en vigueur.
Le Prestataire s’engage à prendre toutes les mesures nécessaires pour assurer le respect de ses obligations légales et réglementaires ainsi que celles de son personnel en matière de protection des données à caractère personnel, conformément aux articles 28, 32, et 33 du RGPD. Dans ce cadre, le Prestataire s’engage notamment à :
- Traiter les données uniquement pour les finalités définies dans le Contrat ou lorsque cela est nécessaire à la sécurité, à la maintenance, et au bon fonctionnement des Services fournis par le Prestataire, conformément à l’article 28(3)(a) du RGPD.
- Respecter strictement les instructions du Client concernant le traitement des données, comme exigé par l’article 28(3)(a) du RGPD. Si le Prestataire estime qu’une instruction pourrait constituer une violation du RGPD ou de toute autre législation applicable en matière de protection des données, le Prestataire en informera immédiatement le Client. Par ailleurs, si le Prestataire est contraint de transférer des données vers un pays tiers ou une organisation internationale en vertu d'une obligation légale (conformément à l’article 28(3)(a) et l’article 48 du RGPD), il doit informer le Client de cette exigence avant le traitement, sauf si la législation applicable interdit une telle notification pour des raisons d'intérêt public.
- Assurer la confidentialité des données personnelles traitées dans le cadre du présent Contrat, en veillant à ce que les données ne soient pas accessibles à des tiers non autorisés, conformément à l’article 28(3)(b) du RGPD.
- Veiller à ce que les personnes autorisées à traiter les données dans le cadre du Contrat s’engagent à respecter une obligation de confidentialité appropriée, soit contractuellement, soit en vertu de la loi, conformément à l’article 28(3)(b) du RGPD. De plus, le Prestataire s’assure que ces personnes reçoivent la formation nécessaire en matière de protection des données personnelles.
- Intégrer les principes de "protection des données dès la conception" et "par défaut" dans ses outils, produits, applications et services, conformément à l’article 25 du RGPD, afin de garantir un haut niveau de sécurité et de confidentialité dès le développement de ses solutions.
De manière générale, le Prestataire s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées, en conformité avec l’article 32 du RGPD, pour garantir l’intégrité, la sécurité et la confidentialité des données personnelles traitées pour le compte du Client.
En cas de violation de données personnelles, le Prestataire s’engage à notifier le Client dans les meilleurs délais, conformément à l’article 33(2) du RGPD, et à fournir toute documentation nécessaire pour permettre au Client de se conformer à ses obligations de notification auprès de l’autorité de contrôle compétente.
Les parties conviennent que la notion d’instruction est réputée remplie lorsque le Prestataire agit conformément aux termes du Contrat dans l’exécution de celui-ci.
Le Client, en tant que responsable de traitement, s’engage à respecter les obligations suivantes :
- Fournir au sous-traitant les données nécessaires à la réalisation des traitements spécifiés dans le Contrat, afin de permettre au Prestataire de respecter les finalités du traitement.
- Documenter par écrit toute instruction relative au traitement des données à caractère personnel par le sous-traitant, conformément à l’article 28(3)(a) du RGPD, pour garantir que toutes les directives soient claires, précises et conformes à la réglementation en vigueur.
- S’assurer, avant et pendant toute la durée du traitement, que le sous-traitant respecte les obligations prévues par le RGPD, notamment en matière de sécurité, de confidentialité et de limitation des finalités. Superviser les activités de traitement réalisées par le sous-traitant et effectuer, si nécessaire, des audits ou des inspections. Ces audits pourront être réalisés par le Client ou par un tiers qualifié sélectionné par le Client, en conformité avec les conditions définies à l’article 14 de l’annexe E.
- Réaliser une analyse d'impact relative à la protection des données (DPIA), conformément à l’article 35 du RGPD, lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Le Client informera le Prestataire des conclusions de l’analyse d'impact et des mesures à mettre en œuvre si nécessaire.
- Communiquer au sous-traitant les coordonnées de son délégué à la protection des données (DPO), si un tel délégué est désigné, en indiquant son identité et ses informations de contact dans le Devis. En cas de changement de DPO, le Client s’engage à en informer le Prestataire dans les meilleurs délais pour assurer une communication efficace.
Conformément aux exigences du RGPD et à la réglementation Informatique et Libertés, le Prestataire et le Client s’engagent à prendre toutes les précautions nécessaires pour garantir la sécurité des données à caractère personnel, en tenant compte de la nature des données traitées et des risques associés. Ces mesures visent notamment à prévenir toute altération, destruction fortuite ou illicite, perte, divulgation ou accès non autorisé aux données par des tiers.
Le Prestataire et le Client mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer la protection des données personnelles, conformément à l'article 32 du RGPD. Ces mesures tiennent compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du niveau de risque pour les droits et libertés des personnes concernées, en vue de garantir un niveau de sécurité adapté.
Le Prestataire s’engage à maintenir ces mesures de sécurité tout au long de l’exécution du Contrat. En cas de modification des moyens de sécurité ou de confidentialité, le Prestataire s’assurera de les remplacer par des moyens d’une performance au moins équivalente, voire supérieure, afin de prévenir toute régression dans le niveau de sécurité. Aucune évolution des mesures ne pourra conduire à une réduction du niveau de protection des données.
Conformément à l’article 33(2) du RGPD, le Prestataire s’engage à notifier au Client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, à l’adresse indiquée dans le Devis.
Cette notification comprendra toute documentation utile permettant au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Dans la mesure du possible, la notification adressée au Client inclura les informations suivantes :
- Une description de la nature de la violation de données, incluant les catégories et le nombre approximatif de personnes concernées ainsi que le nombre d’enregistrements de données impactés,
- Une description des conséquences probables de la violation de données pour les personnes concernées,
- Une description des mesures prises pour remédier à la violation, y compris les actions mises en place pour en atténuer les éventuelles conséquences négatives.
Le Prestataire s’engage à collaborer de manière raisonnable avec le Client pour lui permettre de satisfaire à ses obligations réglementaires et contractuelles. En tant que responsable du traitement, il incombe au Client de notifier, le cas échéant, cette violation de données à l’autorité de contrôle compétente ainsi qu’aux personnes concernées, conformément aux articles 33(1) et 34 du RGPD.
Le Client, en tant que responsable de traitement, dispose des outils nécessaires pour permettre aux personnes concernées d'exercer leurs droits, conformément aux articles 12 à 22 du RGPD. Le Client est responsable de fournir aux personnes concernées toutes les informations requises concernant le traitement de leurs données personnelles, notamment au moment de la collecte de ces données, et de faciliter l'exercice de leurs droits.
Le Prestataire met à disposition du Client des préconisations dans sa Documentation pour l’accompagner dans cette gestion.
En cas de plainte reçue directement de la part d’une personne concernée relative aux données à caractère personnel traitées dans le cadre du présent Contrat, le Prestataire s’engage à en informer le Client dans les meilleurs délais et, en tout état de cause, au plus tard dans un délai de 72 heures suivant la réception de la plainte, à l’adresse indiquée dans le Devis.
Si une demande d’exercice des droits est directement adressée à le Prestataire par une personne concernée, le Prestataire s’engage à transmettre cette demande au Client dès réception, par courrier électronique, à l’adresse mentionnée dans le Devis, sans y répondre directement, conformément aux instructions du Client et aux dispositions du RGPD.
Les serveurs utilisés pour l’hébergement et le stockage des données sont situés dans l’Union Européenne. À la date de signature du Contrat, le sous-traitant d’hébergement principal utilisé par le Prestataire est Microsoft Azure.
Conformément à la réglementation Informatique et Libertés et au RGPD, le Prestataire ne peut sous-traiter, en tout ou en partie, des prestations impliquant le traitement de données à caractère personnel vers un pays situé en dehors de l’Union Européenne sans avoir obtenu au préalable l'accord écrit, exprès et spécifique du Client. Le Client dispose d'un délai de sept (7) jours pour émettre des objections concernant le sous-traitant proposé.
Toute sous-traitance n’impliquant pas le traitement de données à caractère personnel et/ou réalisée exclusivement au sein de l’Union Européenne est autorisée par le Client sans besoin de consentement supplémentaire.
Le Prestataire s’engage à ce que chaque sous-traitant choisi soit soumis aux mêmes obligations en matière de protection des données que celles stipulées dans le présent Contrat, conformément aux articles 28(2) et 28(4) du RGPD. Ces obligations incluent notamment le respect des normes de sécurité, de confidentialité et de transparence.
Liste des sous-traitants
La plateforme peut être connectée à des outils tiers de gestion ou de monitoring qui ne traitent pas de données personnelles, conformément aux exigences de confidentialité et de sécurité.
%20(1).png)
La plateforme peut être connectée à des outils tiers de gestion ou de monitoring qui ne traitent pas de données personnelles, conformément aux exigences de confidentialité et de sécurité.
En cas de transfert de données à caractère personnel vers un pays tiers ne faisant pas partie de l’Union Européenne, ou vers une organisation internationale, le Prestataire s’engage à obtenir l'accord préalable et écrit du Client.
Si cet accord est donné, le Prestataire collaborera étroitement avec le Client pour s'assurer que les procédures mises en œuvre sont conformes aux exigences de la réglementation Informatique et Libertés et du RGPD, y compris les articles 44 à 49, relatifs aux transferts de données à l'international.
Le Prestataire veillera notamment à ce que l’un des mécanismes de transfert prévus par le RGPD soit mis en place, tels que :
- L’utilisation de clauses contractuelles types approuvées par la Commission Européenne,
- Des règles d’entreprise contraignantes (BCR) si applicables,
- Ou toute autre garantie appropriée reconnue par la réglementation en vigueur.
En cas de changement dans le statut d’adéquation du pays de destination, le Prestataire informera le Client sans délai pour qu’il puisse prendre les mesures nécessaires afin de maintenir la conformité des traitements.
En sa qualité de sous-traitant, le Prestataire s’engage à tenir à jour un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement, conformément à l’article 30(2) du RGPD.
Ce registre inclura des informations sur la nature des activités de traitement, les finalités de ces traitements, ainsi que toute autre donnée requise par le RGPD pour assurer une documentation complète et conforme.
Le Prestataire s’engage à donner au Client, sur simple demande, accès à ce registre afin de lui permettre de vérifier la conformité des activités de traitement avec les obligations légales et contractuelles.
Dans l’hypothèse où le droit communautaire ou le droit d’un Etat membre exigerait la conservation des données à caractère personnel, le Prestataire informera le Client de cette obligation.
À la fin de la prestation de services, le Prestataire s’engage à restituer les données à caractère personnel au Client, conformément aux modalités de réversibilité définies dans le Contrat. Cette restitution inclura l’ensemble des données traitées pour le compte du Client dans le cadre des services fournis.
Après restitution, le Prestataire procèdera à la destruction de toutes les copies restantes des données personnelles dans ses systèmes d’information, sauf obligation légale contraire découlant du droit communautaire ou du droit de l’État membre applicable.
Cette destruction interviendra dans un délai de trente (30) jours suivant la restitution des données au Client. À la demande du Client, le Prestataire pourra fournir un justificatif écrit de la destruction effectuée.
Dans le cas où la législation de l’Union Européenne ou d’un État membre exigerait la conservation des données personnelles au-delà de cette période, le Prestataire informera le Client de cette obligation légale et des modalités de conservation imposées.
Le Prestataire s’engage à répondre aux demandes d’audit formulées par le Client ou par un tiers de confiance désigné par le Client, à condition que ce tiers dispose des qualifications nécessaires pour mener un audit de conformité en matière de protection des données.
Le Prestataire fournira au Client toutes les informations et conclusions pertinentes découlant de l’audit. Les frais d’audit sont à la charge du Client.
Le Prestataire se réserve le droit de refuser un auditeur pour un motif légitime, notamment si cet auditeur est un concurrent direct ou indirect de le Prestataire. Dans ce cas, le Client proposera un autre auditeur qualifié. Les audits ont pour objectif de vérifier la mise en œuvre effective des mesures de sécurité et de confidentialité des données personnelles, en conformité avec le RGPD et les obligations contractuelles. Le Client informera le Prestataire au minimum quinze (15) jours ouvrés avant le début de l’audit.
Pendant la durée du Contrat, à la demande expresse du Client et dans la mesure où cela n'affecte pas l’activité du Prestataire, ce dernier fournira l'assistance nécessaire au Client pour la réalisation d’une analyse d'impact relative à la protection des données (DPIA), conformément à l’article 35 du RGPD, en tenant compte des informations disponibles.
Dans le cadre de l’exécution du Contrat, chaque Partie peut être amenée à traiter des données personnelles concernant les employés de l’autre Partie, notamment les informations de contact techniques et commerciaux nécessaires à la bonne gestion de la relation contractuelle. Ces données personnelles peuvent inclure, à titre d’exemple : nom, prénom, adresse e-mail professionnelle, adresse postale professionnelle et numéros de téléphone professionnels.
Le traitement de ces données personnelles est indispensable pour la gestion des fichiers clients/fournisseurs, la communication entre les équipes, et la conduite d’actions commerciales liées au Contrat.
Chaque Partie agit en tant que Responsable de traitement pour les données personnelles qu’elle recueille dans ce cadre et s’engage à :
- Ne traiter ces données personnelles que dans la mesure où cela est strictement nécessaire à l’exécution du Contrat,
- Respecter la réglementation en vigueur, y compris le RGPD, et mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour assurer la protection de ces données, en évitant leur destruction accidentelle ou illicite, leur perte, leur altération, ainsi que tout accès ou diffusion non autorisés.
Ces mesures de sécurité visent à garantir un niveau de protection adapté aux risques pour les droits et libertés des personnes concernées, conformément aux obligations légales de chaque Partie en tant que Responsable de traitement.
